最近不少朋友關心某些瀏覽器擴展是否有安全風險，尤其是權限過大風險，有意思的是，有不少人是低估了惡意擴展作惡的風險，也有不少人是誇大了惡意擴展作惡的風險… 我很早就寫過瀏覽器擴展（其中一個開源在我 GitHub 倉庫裡，黑 Cookies 的，早過期了），也安全審計過某些錢包擴展，所以算是比較懂的一類安全人員。 一個擴展要作惡，比如偷目標頁面的 Cookies、localStorage 裡的隱私（如賬號權限信息、私鑰信息），DOM 篡改，請求劫持，剪切板內容獲取等等。在 manifest.json 做相關權限配置即可。用戶如果沒注意擴展的權限申請，就麻煩了。 但一個擴展要作惡，想直接搞其他擴展，比如知名錢包擴展，那還是不容易的…因為沙盒隔離了…比如想直接偷走錢包擴展裡存儲的私鑰/助記詞有關信息是不大可能的，除非有傻逼漏洞出現被惡意利用了。 如果你擔心某擴展的權限風險，要判斷這種風險其實很容易，安裝擴展後可以先不使用，看下擴展 ID，搜索到電腦本地路徑，找到擴展根目錄下的 manifest.json 文件，把文件內容直接扔給 AI 做權限風險解讀即可。這步驟不會操作，直接問 AI 也很方便…比如 DeepSeek/GPT/Grok/Claude 等都行。 如果你有隔離思維，你可以考慮給陌生擴展單獨啟用 Chrome Profile，至少作惡可控。而且，擴展如果用完是可以在 chrome://extensions/ 裡關閉的，絕大多數擴展沒必要一直開啟。 我寫這個的重點其實是想引導大家多善於使用 AI（幾年前是善於使用搜索引擎），AI 處理這些基礎安全問題都不是問題…